Как настроить
Site-to-Site VPN
на шлюзе Check Point

Название шлюза, платформу шлюза, IPv4 адрес.

Присвойте шлюзу имя, IP-адрес и (необязательно) описание в диалоговом окне свойств, которое отображается, и нажмите кнопку «ОК».

На вкладке «SmartDashboard IPSec VPN, щелкните правой кнопкой мыши на пустом пространстве верхней панели и выберите: New -> Meshed Community.

Всплывает диалоговое окно «Meshed Community Properties». В главном меню введите название вашего VPN сообщества:

В меню «Participating Gateways» кликните: «Add» («Добавить»), выберите оба шлюза, нажмите ОК.

Вы можете также определить, какая версия IKE должна быть использована. IKEv1 установлена по умолчанию, вы можете выбрать IKEv2. Примечание: запишите выбранные значения для того, чтобы сопоставить их.

Примечание: рекомендуется соотносить один VPN туннель с двумя подсетями (по умолчанию) . Это позволит распределить вашу сеть по обе стороны VPN и сгладит работу Фазы 2 (Phase 2). Это также позволит использовать меньшее количество туннелей для построения VPN . Если вам необходимо ограничить доступ к VPN, вы можете сделать это позже с помощью базовых правил безопасности (Rule Base).

Выберите флажок «Use only Shared Secret for all External members» («использовать только общий ключ для всех внешних пользователей»). Выберите другие шлюзы в записях в списке ниже и нажмите «Edit» для изменения общего пароля. Примечание: запомните новый пароль, так как он понадобится для настройки VPN на других устройствах.

Примечание: следует запомнить установленные значения. Также советуем выбрать: «Disable NAT» («Отключение NAT») внутри «VPN community», так вы можете получить доступ к ресурсам шлюзов с использованием их реальных IP-адресов, и наоборот.

Нажмите «OK» в окне «VPN community» для возврата в SmartDashboard. Вы также можете увидеть следующее сообщение:

Мы вернёмся к установке домена VPN в следующем разделе, поэтому нажмите «Yes«, чтобы продолжить . Теперь вы можете увидеть, как определяется ваше VPN сообщество:

Зайдите в меню «Network Objects» («сетевые объекты»), нажмите правой кнопкой мыши на «Groups» («группы»), выберите «Groups», а затем «Simple Group». В этом примере только одна сеть является общей, так что в данную группу будет входить только один объект, но вы можете поместить в группу любое количество сетей. Примечание: важно не добавлять целые группы в другую группу, так как это может повлиять на производительность. Дайте вашей группе название, например: Local_VPN_Domain. Нажмите кнопку «ОК», как только вы добавили все ваши локальные сети, затем повторить процедуру, чтобы создать группу для представления общей сети

Откройте свойства совместимых шлюзов и выберите группу/сеть , которая представляет этот VPN домен:

Нажмите «ОК» для окончания настройки конфигурации совместимых шлюзов

Определите, где в вашей базе правил необходимо добавить правило доступа к VPN и щелкните правой кнопкой мыши по номеру правила выше того места, где вы хотите его поместить и выберите: Add Rule -> Below (Добавить Правило — > ниже)

В столбце VPN щелкните правой кнопкой мыши на значок «Any Traffic» («любой трафик») и выберите «Edit Cell»

Выберите опцию «Only connections encrypted in specific VPN Communities» и нажмите кнопку «Add» («Добавить»). Выберите созданное только что VPN сообщество и нажмите кнопку «ОК» дважды

Ваше правило должно теперь показать VPN сообщество в столбце VPN

В некоторых случаях выбирают NAT-T encapsulation (инкапсуляцию), но шлюз Check Point отправляет трафик без инкапсуляции. В результате, на удалённое устройство падает трафик IPsec, в то время как ожидается NAT-T. Есть два доступных решения этой проблемы: Если IKEv2 требуется удаленному узлу, NAT-T следует отключить. Чтобы сделать это, откройте диалоговое окно свойств шлюза Check Point, выберите IPSec VPN — > VPN Advanced и уберите флажок «Support NAT traversal» (относится к удалённому доступу и соединению между сайтами)